Ide o škandál, ktorý nemá obdoby. Okrem toho Meta zaplatí pokutu 91 miliónov eur.
V septembri 2024 Írska komisia pre ochranu údajov (DPC) oznámila svoje konečné rozhodnutie po vyšetrovaní spoločnosti Meta, ktoré sa začalo v apríli 2019. Vyšetrovanie bolo zahájené po tom, čo firma informovala DPC, že neúmyselne uložila heslá používateľov sociálnych médií v „čitateľnej podobe“ na svojich interných systémoch, teda bez kryptografickej ochrany alebo šifrovania
Situácia vyvolala obavy o bezpečnosť miliónov používateľov Facebooku a Instagramu. V marci 2019 Meta oznámila DPC, že neúmyselne uložila heslá používateľov v čitateľnej podobe. Heslá neboli sprístupnené externým stranám, ale ich uloženie v tejto forme predstavovalo vážne riziko pre bezpečnosť údajov. Vyšetrovanie, ktoré sa začalo v apríli 2019, sa zameralo na dodržiavanie všeobecného nariadenia o ochrane údajov (GDPR).
Taktiež sa zaoberalo tým, či spoločnosť implementovala opatrenia na zabezpečenie úrovne bezpečnosti primeranej rizikám spojeným so spracovaním hesiel. Rozhodnutie DPC, ktoré bolo prijaté komisármi pre ochranu údajov Dr. Des Hoganom a Dale Sunderlandom, zahŕňa pokarhanie a pokutu vo výške 91 miliónov eur. DPC zistila niekoľko porušení GDPR.
Zástupca komisára DPC, Graham Doyle, komentoval: „Je všeobecne akceptované, že heslá používateľov by nemali byť uložené v čitateľnej podobe, vzhľadom na riziká zneužitia, ktoré vyplývajú z prístupu k takýmto údajom. Je potrebné mať na pamäti, že heslá, ktoré sú predmetom tohto prípadu, sú obzvlášť citlivé, pretože by umožnili prístup k účtom používateľov na sociálnych médiách.“
Meta potvrdila, že stovky miliónov používateľov mali svoje heslá uložené v otvorenom texte, ale neuviedla presný počet. Hovorí sa o zhruba 600-tisíc používateľoch. Väčšina zasiahnutých používateľov bola z verzie Facebook Lite, ktorá je určená pre trhy s horšou internetovou konektivitou, čo naznačuje, že väčšina zasiahnutých používateľov bola mimo USA. Bezpečnostný výskumník Brian Krebs uviedol, že zamestnanci Facebooku mohli mať prístup k týmto heslám už od roku 2012.
Meta už v minulosti čelila vysokým pokutám od DPC. Napríklad minulý rok bola pokutovaná sumou 390 miliónov eur za to, že Facebook a Instagram si nelegálne vynucovali súhlas so zobrazovaním personalizovaných reklám. Tieto opakované pokuty poukazujú na pretrvávajúce problémy spoločnosti Meta s dodržiavaním predpisov o ochrane údajov v Európskej únii.
Vzniknutá situácia zdôrazňuje dôležitosť ochrany osobných údajov a potrebu prísneho dodržiavania GDPR. Nariadenie vyžaduje, aby správcovia údajov implementovali vhodné bezpečnostné opatrenia pri spracovaní osobných údajov, pričom zohľadňujú faktory, ako sú riziká pre používateľov služieb a povaha spracovania údajov. Správcovia údajov by mali hodnotiť riziká spojené so spracovaním a implementovať opatrenia na zmiernenie týchto rizík.